Article

Après toutes les attaques de type cryptolocker ayant eu lieu ces derniers mois (Petrwrap, NotPetya, exPetr, GoldenEye, etc.), un nouveau type de ransomware (ou rançongiciel) vient d’être identifié le 24 octobre 2017. Celui-ci, au doux nom de BadRabbit, touche principalement la Russie, l’Ukraine et la Bulgarie. Néanmoins, les frontières d’Internet étant ce qu’elles sont, BadRabbit se propage vers des pays comme la Turquie ou encore l’Allemagne.

Après seulement deux jours, il semblerait que ce nouveau ransomware ait déjà affecté près de 200 organisations d’après la société Kaspersky Lab spécialisée dans l’analyse de ces attaques de grande ampleur :

badrabbit-map

Le fonctionnement des systèmes informatiques de l’aéroport international d’Odessa, au sud de l’Ukraine a été affecté, tout comme le métro de Kiev, déjà impacté par NotPetya il y a seulement quelques mois.

 

VECTEUR D’INFECTION ET DE PROPAGATION

Le vecteur d’infection de cette nouvelle attaque provient de sites de grande influence compromis tels que Fontanka.ru, le principal site d’information de Saint-Pétersbourg. En effet, ce dernier relayait une fenêtre invitant les internautes à mettre à jour leur version de Flash Player :

Les chercheurs ont démontrés des similitudes entre BadRabbit, Petya et NotPetya. Néanmoins, ce nouveau cryptolocker diffère complètement de par son vecteur de propagation.

En effet, NotPetya utilisait la faille EternalBlue de Windows rendue publique par les ShadowBrockers après une fuite des outils de compromission de la NSA alors que BadRabbit embarque une version modifiée de Mimikatz. Mimikatz va alors tenter de récupérer les mots de passe administrateurs en mémoire afin de se propager via le protocole de partage SMB.

BadRabbit embarque également une liste de noms d’utilisateurs/mots de passe couramment utilisés afin de tenter de se connecter aux partages disponibles. Pour cela, une liste d’identifiants et de mots de passe est hardcodé au sein de BadRabbit.

badrabbit-hardcoded-smb-password

COMMENT SONT CHIFFRÉES LES DONNÉES

Comme ses prédécesseurs, une fois installé, BadRabbit démarre un processus de chiffrement de l’ensemble des données. Ces données pouvant être présentes sur les disques locaux ou réseaux.

Le chiffrement des données s’effectue en deux étapes :

  • En premier lieu, l’ensemble des fichiers est chiffré un à un en utilisant la cryptographie intégrée à Windows via CryptoAPI.

 

  • De plus, Bad Rabbit utilise DiskCryptor afin de chiffrer les fichiers présents sur la machine, créer une tâche planifiée dans le but de redémarrer le système et modifier le Master Boot Record (MBR). La modification de ce dernier permet de rediriger le processus de démarrage vers la demande de rançon. Cette dernière est affichée directement après le redémarrage du système :

badrabbit-rancon

Même si les différents cryptolocker promettent de déchiffrer vos données dès que la rançon est payée, l’analyse de NotPetya avait démontré qu’il n’existait aucune routine de déchiffrement des données. Les auteurs de BadRabbit semblent donc « plus honnêtes » en proposant, une routine de déchiffrement.

Cette dernière est accessible pour la modique somme de 0,05 Bitcoin, soit environ 275 € :

badrabbit-rancon2

De plus, afin de forcer la main à ses victimes, un compte à rebours indique le temps restant avant l’augmentation du prix de la rançon.

Voici une liste des extensions ciblées par BadRabbit :

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

 

COMMENT SE PROTÉGER

Afin de nous prémunir de ce genre d’attaque, nous pourrions quasiment redonner les mêmes recommandations que pour Wannacry avec quelques ajouts en plus, à savoir :

  • Ne pas payer la rançon. Ce n’est pas parce qu’une routine de déchiffrement semble exister qu’elle sera utilisée.

 

  • Sensibiliser les utilisateurs afin de ne pas exécuter les liens provenant des sources inconnues. Cela passe par ne pas télécharger de mises à jour provenant de sites non officiels

 

  • Réaliser des sauvegardes des données. Ces sauvegardes doivent être hors ligne pour ne pas risquer leur contamination. De plus, des essais de rapatriement des sauvegardes doivent être mis en place.

 

  • En cas de clic sur des liens inconnus malveillants, déconnecter les postes du réseau le plus vite possible.

 

  • Respecter les bonnes pratiques d’hygiène informatique de l’ANSSI afin d’éviter de disposer de mots de passe triviaux et/ou par défaut sur vos systèmes, limitant ainsi la propagation de BadRabbit.

 

  • Désactiver le service WMI sur les postes si celui-ci n’est pas nécessaire. Application du principe de la réduction de la surface d’attaque.

 

BADRABBIT EN RÉSUMÉ

Une image valant souvent mieux qu’un long discours :

badrabbit-resume

Vous trouverez également des informations supplémentaires sur cette analyse à l’adresse suivante : http://blog.talosintelligence.com/2017/10/bad-rabbit.html

 

Yacine Kahloula et Kylian Point : Consultants BSSI

1 commentaire

  • Merci pour ce bel article !

Ecrire un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Catégories
Twitter

TeamViewer bans your ID if you will try to connect with the wrong password and close the connection 10 times, but if you don't finalization a connection (on the screen "Cancel" button), you can brute 4-digit PIN-code.
cmd "C:\PF\TeamViewer\TeamViewer.exe" -i %ID% -P %PIN%

Le 26/09 l'EBG remettra à l'ensemble de la communauté le livre blanc "Cybersécurité et Confiance Numérique" réalisé en partenariat avec @AFNOR, @Certigna et @CESIN_France Pour vous inscrire à la conference @ebg https://t.co/fWQSZHf7Jy … #cybersécurité #EBG

BSSI continue son développement et recherche des compétences en cybersécurité sur Paris et Toulouse. https://t.co/hj4uJ53EVM

La Californie possède sa version du RGPD. #rgpd #privacy #europefirst https://t.co/CtJilpW0z3

Load More...

© 2017 Blog BSSI, inc. All rights reserved.